Archiv für den Monat: Februar 2020

6 02, 2020

„Digitale Forensik“-Vorlesung im Wirtschaftsinformatik-Studiengang

von |6. Februar 2020|IT-Forensik|0 Kommentare|

Der vor Kurzem durchgeführte Hackerangriff auf die Uni Gießen hat vielen Menschen vor Augen geführt, dass die Bedrohung durch Angreifer aus dem Internet stetig zunimmt. Um aus solchen Sicherheitsvorfällen lernen zu können, benötigt es IT-Forensiker, die den 7 W-Fragen der Kriminalistik nachgehen: Wer (Täter), was (Straftat), wann (Tatzeitpunkt), wo (Tatort), wie (Tathergang) womit (Werkzeuge) und warum (Motiv). So versuchen sie über die vom Angreifer hinterlassenen digitalen Spuren den Sicherheitsvorfall zu rekonstruieren und den Täter – im Idealfall – zu überführen.


Über Hochschulkontakte bot sich mir im Wintersemester 19/20 die Gelegenheit das Modul „Digitale Forensik“ im Masterstudiengang der Wirtschaftsinformatik an der Technischen Hochschule Mittelhessen (THM) anzubieten. Mit der Sichtweise eines Angreifers auf IT-Systeme, beschäftigte es mich als Pentester ohnehin, welche Spuren bei einem Angriff hinterlassen werden und wie diese verschleiert werden können. Dahingehend standen für mich folgende Themen auf der Agenda:

  1. Hacking
  2. Antiforensik
  3. Gutachtenerstellung
  4. Live Forensik
  5. Datenträgeranalyse
  6. Anwendungsforensik
  7. Erstellung von Schadsoftware
  8. Malwareanaylse
  9. Reverse Engineering

Getreu dem Zitat von Sunzi – „Du musst deinen Feind kennen, um ihn besiegen zu können“ -, wechselte ich je nach Vorlesungseinheit die Perspektive zwischen den beiden Kontrahenten und ließ die besprochenen Inhalte im nachstehenden Szenario von den Studierenden anwenden:

Die Dubius Payment Ltd. ist ein vor Kurzem gegründeter Zahlungsdienstleister, welches Kreditkarteninformationen in seinen Systemen speichert, verarbeitet und weiterleitet. Seit dem 14. November 2019 gegen 16:45 Uhr (Donnerstag) verzeichnet das Produktionssystem Ausfälle und ihr Intrusion Detection System meldet in regelmäßigen Abständen einen ungewöhnlich hohen Netzwerkverkehr über ihr Payment Gateway. Aus Angst vor einem Hackerangriff haben sie den Studierenden als IT-Forensiker beauftragt, den Fall zu analysieren.

In ihrer praktischen Arbeit stellten die Studierenden über das Sammeln und der Analyse von digitalen Spuren auf dem Livesystem fest, dass ein Mitarbeiter des Unternehmens in regelmäßigen Zeitabständen Kreditkartendaten aus der Datenbank abzieht. Wie in der Realität üblich, blieb es nicht bei dieser Schlussfolgerung, sondern die Studierenden mussten nun über eine anschließende Datenträgeranalyse des Arbeitscomputers vom Tatverdächtigen die Zweifelsfrage klären, ob der Nutzer das Opfer eines Hackerangriffs geworden ist oder tatsächlich die Schuld am Datendiebstahl trägt. Ihre Ergebnisse hielten sie in Form eines Gutachtens fest.

Natürlich lief im ersten Durchlauf nicht alles reibungslos. So hatte ich beispielsweise mit dem Aufbau meines geplanten Labors zu kämpfen: Damit die Studierenden lernen ihr eigenes Toolkit auf einem kompromittierten System zu verwenden, sollte das Linuxprogramm „/usr/bin/ls“ mit folgendem „Schadcode“ auf dem Livesystem ersetzt werden:

#include <iostream>

#include <cstdlib>

using namespace std;

int main() {

cout << "I've got ya! ;)" << endl;

system("sleep 1");

system("sudo reboot");

return 0;

}

Da “ls” jedoch auch von Init-Skripten aufgerufen wird, führte die Schadsoftware im Falle eines Neustarts zu einer Endlosschleife. Die Verwendung eines Aliases in Linux lieferte hier Abhilfe. Umso erfreulicher ist die positive Resonanz der Studierenden, welche sich in den Anmerkungen der Lehrveranstaltungsevaluation abzeichnet (s. Evaluationsergebnis).

“Es ist das spannendste Modul im gesamten Wirtschaftinformatik Studium, es fesselt und macht viel Spaß anzuwenden/zu lernen“

Student/in

So hat beispielsweise der vorige Kommentar mit dazu beigetragen, dass ich mir als Ziel genommen habe, einen neuen Online-Kurs für die binsec academy zu entwerfen: Das “Digital Forensics Training”, welches zukünftig Teilnehmer als Binsec Academy Certified Digital Forensic Professional (BACDFP) zertifizieren soll.

5 02, 2020

Umstrukturierung der binsec

von |5. Februar 2020|binsec|0 Kommentare|

Die binsec hat sich umstrukturiert: Der von den drei Gesellschaftern Patrick Sauer, Florian Zavatzki und Dominik Sauer Ende 2019 gegründete binsec group GmbH gehört seit Januar 2020 nun offiziell die binsec GmbH sowie die binsec academy GmbH.

4 02, 2020

security.sauer.ninja wird international

von |4. Februar 2020|Unkategorisiert|0 Kommentare|

Unser deutsche Blog security.sauer.ninja wird international: Durch den großen Erfolg des Blogs im deutschsprachigen Raum haben wir uns dazu entschieden, Blogeinträge zukünftig auch in einer englischen Variante zur Verfügung zu stellen. Zudem werden wir einige ältere, ausgewählte Einträge in die englische Sprache übersetzen.